YARA:第六章-更多关于规则

于 2024-07-11 07:00:00 发布
阅读量406 收藏 5
点赞数 5
分类专栏: 威胁检测-Yara 文章标签: 安全威胁分析 全文检索 安全 c语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29490749/article/details/140325767
版权

        

目录

1 全局规则(Global rules)

2 私有规则(Private rules)

3 规则标签(Rule tags)

4 元数据(Metadata)

        Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。

1 全局规则(Global rules)

        全局规则会对当前所有规则施加限制。例如用户希望所有规则都忽略掉超过特定大小限制的文件时,不需要每条规则中添加此限制(当然也可以这样做,但是工作量可能很大),只需要写一个全局规则即可。示例如下:

global rule SizeLimit
{
    condition:
        filesize < 2MB
}

        用户可以定义任意数量的全局规则,而在实际匹配过程中,会优先全局规则进行匹配,如果全局规则匹配失败,则剩下的规则将不再进行匹配操作。

2 私有规则(Private rules)

        私有规则即规则命中时也不会输出任何规则信息。此类规则一般用于被其它普通规则所引用,私有规则可以对规则进行保密防止泄露。私有规则也可以和全局规则共同修饰同一条规则。示例如下:

private rule PrivateRuleExample
{
    ...
}

private global rule PrivateGlobalRuleExample
{
    ...
}

3 规则标签(Rule tags)

        Yara支持给规则添加标签,可用于查看Yara规则是进行过滤,即只显示指定tag的规则信息。每个规则可以包含任意数量的tag。tag的命名规则与规则标识符规则一致,只允许使用字母、数字和下划线,并且不能以数字开头且大小写敏感。示例如下:

rule TagsExample1 : Foo Bar Baz
{
    ...
}

rule TagsExample2 : Bar
{
    ...
}

4 元数据(Metadata)

        Yara规则中除了字符串块和条件块外,还可以包含元数据信息用于补充说明规则相关信息例如作者、时间、引用连接、描述等。示例如下:

rule MetadataExample
{
    meta:
        describe = "Some string data"
        num = 24
        is_valid = true

    strings:
        $my_text_string = "text here"
        $my_hex_string = { E2 34 A1 C8 23 FB }

    condition:
        $my_text_string or $my_hex_string
}

        元数据的格式是数据标识符、等号和值的形式。元数据值可以是字符串(UTF8格式)、数值或者布尔值(true或者false)。元数据定义的标识符不能在条件块中使用。元数据不参与规则的匹配,它们唯一的用途就是用来存储规则的相关信息。

_只道当时是寻常
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
yara规则
weixin_47576228的博客
09-02 1077
本篇参照官网规则,将yara语法总结如本文部分
yara规则学习与使用
abelxu
06-20 6170
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
Yara规则概述
热门推荐
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
Yara、Snort和Sigma规则
摔不死的笨鸟的博客
03-11 5502
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。 Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。 SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。 Yara规则 很多人对yara规则是比较熟悉的。 yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。 hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中多无关的黑样
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-04 664
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
五步走,构建最适配业务的高效YARA规则体系
WangsuSecurity的博客
04-03 1101
本文主要从运营的角度介绍如何收集、整理、管理YARA规则,构建精简、高效的YARA规则库。
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
将ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在...
CCCS-Yara:YARA规则元数据规范和验证实用程序YARA规则的规范和验证
05-08
本身支持此规范,并将利用它提供有关YARA签名命中的多上下文。样本规则rule MemoryModule { meta:id = "6O9mUMvPhziJ72IXHf6muZ"fingerprint = "4aa0a23f28698898404d700cb363ddf06dd275f5798815e797113656a2a40...
awesome-yara:精选的YARA出色规则,工具和人员的清单
01-31
【标题】"awesome-yara" 是一个集合了各种优秀YARA规则、工具和专家资源的综合清单,旨在为网络安全专业人士提供强大的支持,特别是在威胁狩猎、恶意软件分析和研究领域。 【描述】这个项目名为"awesome-yara",是...
Yara: Yet Another RSS Aggregator-开源
05-13
Yara,全称为"Yet Another RSS Aggregator",是一个开源项目,专为处理RSS(Really Simple Syndication) feeds而设计。RSS是一种广泛使用的互联网数据交换格式,它允许用户订阅并获取网站新,如博客文章、新闻...
yara规则书写规范
01-04
当前最新yara规则书写规范,官方文档翻译过来的,不包括后面支持的模块翻译。大家有兴趣可以下载下来看。
yarGen, yarGen是YARA规则的生成器.zip
10-10
yarGen, yarGen是YARA规则的生成器 yarGen ______ __ ______ ______/____/__ ____////__ `/___//__/_/__ //_///_/////_//__//// __,/__,_/_/____/
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false测试 bundle install # Run Unit and Lint Tests bundle exec rake # Run Test-Kitchen Integration Tests kitchen test贡献...
反向实验室YARA规则库:深度解析与应用指南
gitblog_00009的博客
04-14 1080
反向实验室YARA规则库:深度解析与应用指南 项目地址:https://gitcode.com/reversinglabs/reversinglabs-yara-rules 在网络安全领域,有效的恶意软件检测和预防是至关重要的。ReversingLabs YARA 规则库正是这样一个工具,它提供了一套丰富的开源YARA规则,帮助开发者和安全研究人员识别并对抗各种威胁。本文将深入探讨其技术背景、功...
YARA规则摘要
cozil的专栏
08-27 2654
原文链接:https://yara.readthedocs.io/en/v3.7.0/writingrules.html 一个简单的yara规则示范: rule ExampleRule { strings: $my_text_string = &amp;amp;quot;text here&amp;amp;quot; $my_hex_string = { E2 34 A1 C8 23 FB } ...
Yara规则编写
lisasue的博客
09-07 8476
yara规则编写 YARA规则标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。 Yara关键字 YARA规则由字符串区域和条件区域两部分组成,其中条件区域必须存在,字符串区域则可有可无,比如不依赖任何字符串的规则: rule Dummy { condition:
静态扫描之Yara第一话--安装及使用Yara
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
YARA实战指南:恶意软件检测与VTHunting规则应用
5. 自动化规则生成:yarGen是一个自动化工具,能从样本中提取特征并生成YARA规则,利用启发式和机器学习技术优化规则的准确性和可扩展性。 通过YARA进行实时VT样本打捞,用户可以快速定位和处理新出现的恶意样本,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_只道当时是寻常

打赏不得超过工资的一半呦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值